Обнаружена критическая уязвимость OpenSSL «Heartbleed»

Обнаружена уязвимость в популярном программном средстве шифрования OpenSSL, которое уже окрестили как Heartbleed (что в переводе звучит как «кровоточащее сердце» или «сердце кровью обливается»). Heartbleed-ошибка была введена в OpenSSL версии 1.0.1 в 2012 году и присутствует в следующих версиях OpenSSL: 1.0.1, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e, 1.0.1f.

blog_heartbleedДанная уязвимость позволяет считывать содержимое памяти в системах, защищённых версией OpenSSL. По сути это означает, что все механизмы защиты соединений, полагающиеся на данную реализацию протоколов шифрования, попросту не работают. Речь идёт не о том, что шифрования никакого нет. Просто любой, кто знал об уязвимости (все уже догадались, кто уж точно мог знать об этом), присутствующей в OpenSSL, начиная с версии 1.0.1, выпущенной в 2012 году, мог всё это время прослушивать любые шифрованные соединения, эксплуатируя брешь (Большой брат наблюдает за тобой).
Читать далее →